电子商务

电子商务网站必须使用 HTTPS（SSL/TLS）加密传输

电子商务网站处理用户登录凭证、支付卡号、收货地址等敏感信息，根据 PCI DSS 4.1 条款与 CA/B Forum Baseline Requirements §9.10，所有传输中的持卡人数据必须通过 TLS 加密。未启用 HTTPS 的电商站点在 Chrome 120+ 中将被标记为“不安全”，且无法调用 Web Payment API、WebAuthn 等现代浏览器安全特性。主流电商平台（如 Shopify、Magento、WooCommerce）默认强制 HTTPS，其后台管理接口、API 端点及结账流程均依赖 TLS 1.2 或更高版本完成双向身份验证与数据完整性保护。

TLS 加密本身不提供业务逻辑安全，但构成信任链基础：用户浏览器通过验证服务器证书的签名链、有效期、域名匹配及吊销状态（OCSP Stapling 或 CRL），确认其正在与真实运营方通信，而非中间人伪造的钓鱼站点。

电子商务场景下 SSL 证书选型需兼顾兼容性、扩展性与合规性，而非仅关注价格或签发速度。

支持 HTTPS 的电商系统必须部署有效且受信的 SSL 证书。

证书类型选择应匹配业务架构与信任需求

单域名与多域名证书适用于标准化 SaaS 架构

若电商站点采用固定主域（如 shop.example.com）且无子站或附属品牌，单域名SSL证书可满足基础 HTTPS 需求。但多数电商平台需同时覆盖 www、API、静态资源 CDN 域名，此时应选用 多域名SSL证书，在单张证书中嵌入 shop.example.com、api.example.com、cdn.example.com 等多个 SAN 条目。CA/B Forum 要求所有 SAN 必须通过独立域名控制权验证（DNS 或 HTTP），且任一 SAN 过期将导致整张证书失效。

通配符证书适用于动态子站体系

面向多租户或区域化部署的电商平台（如 {region}.shop.example.com），通配符证书可统一覆盖无限层级的一级子域。但注意：*.example.com 不包含 example.com 本身，也不覆盖二级子域（如 a.b.example.com），且部分企业环境（如金融行业内网）因策略限制禁止使用通配符证书。

DV/OV/EV 证书影响用户端信任感知

DV SSL证书仅验证域名控制权，签发快、成本低，适用于测试环境或非交易型前端；OV SSL证书额外验证企业注册信息，支持组织名称显示于证书详情，增强 B2B 客户信任；EV SSL证书已自 2021 年起被 Chrome 和 Firefox 移除绿色地址栏标识，实际业务价值趋近于 OV，仅特定政府或银行类项目仍要求 EV 合规。

维度	参考标准	工程师建议
最低 TLS 版本	RFC 8446 (TLS 1.3), PCI DSS v4.0 §4.1	禁用 TLS 1.0/1.1；生产环境默认启用 TLS 1.2 + 1.3，并优先协商 1.3
证书密钥强度	CA/B Forum BR §7.1.5, NIST SP 800-131A	RSA ≥2048 位 或 ECDSA P-256；避免 SHA-1、RSA-1024
国密合规需求	GM/T 0024-2014, 商密资质要求	境内政务、金融类电商需部署 国密SSL证书，支持 SM2/SM3/SM4

常见问题

Q：是否可以使用免费SSL证书部署电商网站？ A：技术上可行，免费ssl证书（如 Let’s Encrypt）符合 RFC 8555 与 BR 规范，支持自动化续期；但其 90 天有效期对运维提出更高要求，且不支持 OV/EV 验证、不兼容部分老旧 Android 4.x 系统与 Java 7u95 以下环境，关键交易系统建议选用商业证书。

Q：为何浏览器提示“证书不受信任”？
A：常见原因包括：证书链不完整（缺少中间 CA）、系统时间错误、域名不匹配（如访问 shop.example.com 却部署了 api.example.com 证书）、证书已被 CA 吊销（可通过 ssl证书工具在线检测 OCSP 响应状态）。